Gastbeitrag von BlackBerry zur Zeppelin-Malware
Russische Ransomware zielt auf Europa und Nordamerika
Unter Cyberkriminellen macht eine neue Familie von Ransomware die Runde: Vega und ihr Nachfolger Zeppelin. Letztere kam bereits bei gezielten und sorgfältig vorbereiteten Attacken auf Healthcare- und Technologieunternehmen in Europa, den USA und Kanada zum Einsatz. Die Krux daran: Zeppelin-Ransomware ist sehr anpassungsfähig. BlackBerry Cylance konnte nachweisen, dass die neue Malware nicht auf Computern in Russland, Weißrussland, der Ukraine und Kasachstan ausgeführt wird. Deshalb gehen die Forscher davon aus, dass die Angriffe russischen Ursprungs sind.
Zwar ging die Gesamtzahl der Ransomware-Angriffe 2019 zurück, aber dafür werden sie immer gezielter, wie die Ergebnisse der Studie von BlackBerry Cylance nahelegen: Während sich die Kriminellen bei der Anwendung der Malware einst vorwiegend auf die Verbraucher konzentrierten, sind heute eher Handelsunternehmen und öffentliche Einrichtungen die bevorzugten Angriffsziele. Der Grund ist einleuchtend: Ein einziger erfolgreicher Angriff kann mitunter Zehntausende Euro einbringen und führt mit hoher Wahrscheinlichkeit zur Zahlung. Abgesehen von den Versuchen Nordkoreas, Geldeinnahmen aus Ransomware zu generieren, haben die meisten Angreifer, die in staatlichem Auftrag agieren, die Verschlüsselung von Daten als Taktik benutzt, um den Zugriff durch rechtmäßige Nutzer zu behindern und so den Betrieb der Regierungsbehörden und Unternehmen konkurrierender Nationen zu stören.
Zeppelin ist das neueste Mitglied der Delphi-basierten RaaS-Familie (Ransomware as a Service), die ursprünglich als Vega oder VegaLocker bekannt war. Obwohl die Malware eindeutig auf dem gleichen Code basiert und die meisten Funktionen mit ihren Vorgängern teilt, unterscheidet sich die aktuelle Angriffswelle erheblich von ihren Vorläufern, die frühere Versionen der Malware verwendet haben.
Vega-Samples wurden erstmals Anfang 2019 entdeckt und neben anderer weit verbreiteter Malware auf dem russischen Online-Netzwerk Yandex Direct verbreitet. Die Angriffswelle richtete sich an russischsprachige Nutzer mit offensichtlichem Fokus auf Personen, die im Rechnungswesen arbeiten. Zudem war erkennbar, dass die Angriffe eine möglichst große Reichweite haben sollte, statt lediglich einen kleinen Kreis sorgfältig ausgewählter Zielpersonen zu adressieren. Die Binärdateien waren oft mit einem gültigen Zertifikat signiert und auf GitHub gehostet. Im Laufe des letzten Jahres erschienen mehrere neue Versionen von Vega, die jeweils einen anderen Namen trugen, zum Beispiel Jamper, Storm oder Buran. Einige davon wurden in Untergrundforen angeboten.
Angriffsmuster mit neuer Ausrichtung
Die jüngste Angriffswelle mit der neuesten Variante Zeppelin unterscheidet sich hingegen deutlich von ihren Vorgängern. Forscher entdeckten die ersten Muster der Ransomware - mit Zeitstempel vom 6. November 2019 - bei einer Handvoll Technologie- und Healthcare-Unternehmen in Europa und den USA. Im krassen Gegensatz zur Vega-Kampagne sind alle Zeppelin-Binaries wie auch einige neuere Buran-Samples so konzipiert, dass sie ihr schädliches Wirken einstellen, sobald sie auf Rechnern laufen, die in Russland und einigen anderen Ländern der ehemaligen Sowjetunion stehen.
Der Verdacht, dass die Kampagne aus Russland stammt, wird vor allem durch den Umstand genährt, dass die Malware bei der initialen Ausführung den Ländercode des Opfers überprüft, um sicherzustellen, dass sie nicht auf einem Computer in den genannten Ländern läuft. In diesem Fall stellt Zeppelin seinen Betrieb sofort ein. Dies stellt eine entscheidende Veränderung im Vergleich zu anderen Delphi-basierten Formen von Ransomware im Kontext von VegaLocker dar, deren Attacken durchaus auch Opfer in Russland gefährdet hat. Im Zusammenwirken mit der veränderten Einsatztaktik deutet dies darauf hin, dass hinter der Zeppelin-Kampagne andere Cyberkriminellen stehen als jene, die für VegaLocker verantwortlich sind.
Die Samples von Zeppelin werden auf Websites nach dem Muster von "Watering Hole"-Angriffen (Platzierung von Malware auf Sites, die für die Zielgruppe relevant sind) und im Falle von PowerShell auf Pastebin gehostet. Es ist anzunehmen, dass die Kriminellen die Ransomware über Malvertising-Aktionen verbreiten. Es gibt zudem gute Gründe für die Annahme, dass zumindest einige der Angriffe über MSSPs (Managed Security Service Provider) liefen. Dies wäre eine augenfällige Ähnlichkeit zu einer anderen kürzlich durchgeführten, sehr zielgerichteten Kampagne mit einer Ransomware namens Sodinokibi.
Ransomware as a Service: das neue Cybercrime-Geschäftsmodell
Die weitreichende Verlagerung der Ziele vom russischsprachigen in den westlichen Raum sowie die Unterschiede bei der Auswahl der Opfer und den Methoden zur Bereitstellung von Malware lassen eine Reihe von Rückschlüssen zu. Vor allem deuten sie darauf hin, dass sich diese neue Variante von Vega-Ransomware in den Händen verschiedener Bedrohungsakteure befindet und entweder von ihnen als eine Art Service genutzt oder aus gekauften, gestohlenen oder geleakten Quellen neu entwickelt wurde.
Zeppelin ist hochgradig flexibel konfigurierbar und kann als EXE-, DLL-Datei oder gebündelt in einen PowerShell-Loader bereitstehen. Die Malware beginnt die Installation mit einem temporären Ordner namens ".zeppelin", bevor sie sich auf Zielcomputer verteilt. Sobald sich die Ransomware in das Netzwerk eingeschlichen hat, verschlüsselt sie die dortigen Dateien mit 512-Bit-RSA-Keys, AES-Keys und zufällig generierten 32-Bit-RC4-Keys.
Sind erst einmal alle Dateien verschlüsselt, lässt Zeppelin dem Opfer eine Lösegeldforderung in Form einer Textdatei zukommen. Es gibt keine standardisierte Lösegeldforderung: Die Texte reichen von kurzen allgemeinen Nachrichten bis hin zu detaillierten Informationen, die individuell auf die einzelnen Zielorganisationen zugeschnitten sind. Auch die Lösegeldforderungen unterscheiden sich je nach der Organisation des Opfers, aber allen ist gemeinsam, dass sie Bezahlung in Bitcoins verlangen.
All dies deutet darauf hin, dass Zeppelin in Form von Ransomware as a Service in Umlauf ist. Hier erwerben Kriminelle das Recht, die Schadsoftware eines Verkäufers aus einem Untergrundforum im Darknet zu nutzen und sie anschließend auf ihre individuellen Bedürfnisse zuzuschneiden. Die Analyse legt nahe, dass mindestens einer dieser Anbieter Zeppelin nutzt, um gezielte Angriffe zu starten, die auf eine kleine Anzahl von Healthcare- und IT-Unternehmen abzielen - und zwar als Testlauf für eine größere Kampagne. Dies stützt den Verdacht, dass die Bedrohungsakteure ziemlich vorsichtig sind, auf wen sie ihre Angriffe richten.
Sicherheitstipps
Unternehmen und andere Organisationen können mit relativ einfachen Sicherheitsmaßnahmen verhindern, dass sie der Ransomware zum Opfer fallen. Der Ratschlag ist nicht neu: Es empfiehlt sich, eine umfassende Sicherheitslösung zu verwenden, die Betriebssysteme aktuell zu halten und regelmäßige Backups durchzuführen. Nicht zu vergessen sind Schulungen, die das Personal über grundlegende Sicherheitsrichtlinien auf dem Laufenden halten, zusammen mit erhöhter Vorsicht und Wachsamkeit.
Auch folgende Security-Tipps sollte man beachten: Angesichts des Siegeszugs von vernetzen Geräten und des IoT nehmen Sicherheitsrisiken zu. Um wirksamen Schutz zu gewährleisten, empfiehlt es sich, sämtliche Apps, Anwendungen und andere IoT-Geräte zu inventarisieren. Lösungen, die Datenverschlüsselung beinhalten, bieten Transparenz und Sicherheit für komplexe, vernetzte IoT-Systeme. Zudem tragen sie dazu bei, dass die Geräte authentifiziert und Daten- sowie Kontrollinformationen nicht manipuliert werden können.
95 Prozent der erfolgreichen Angriffe auf Unternehmensnetzwerke resultieren aus Spear-Phishing-Betrug. Schutz davor bietet die rechtzeitige Identifizierung von Phishing-Versuchen: E-Mail- und Webadressen sollten stets überprüft und hinterfragt werden, wenn eine E-Mail im Postfach liegt, deren Inhalt dubios erscheint. Außerdem kann der Einsatz von Mehr-Faktor-Authentifizierung und dynamischen Sicherheitsrichtlinien erfolgreiche Phishing-Angriffe deutlich abschwächen. Schulungen der Mitarbeiter und der Einsatz intelligenter Sicherheitstechnologien können dazu beitragen, die Cybersicherheit zu stärken, da sie die mit menschlichem Versagen verbundenen Risiken senken.
Ein wichtiger Schritt zum Schutz der IT ist die Verwendung spezifischer Passwörter für alle persönlichen und geschäftlichen Konten. Auch sollte man Software stets auf dem neuesten Stand halten, da Updates oft Korrekturen bereits aufgedeckter Schwachstellen enthalten. Des Weiteren sollten Anwender VPN-Tunnel nutzen, besonders wenn sie sich mit dem öffentlichen WLAN an neuen Standorten verbinden müssen. Unternehmen sollten zudem zu Zero-Trust-Modellen wechseln, um sicherzustellen, dass sich sensible Daten in einer geschützten Unternehmensumgebung befinden.
Lesen Sie mehr zum Thema
